要使系统完整性监控正常工作,您必须添加至少一个规则。系统完整性监控规则是一组定义用户对文件和注册表的访问权限的标准。系统完整性监控检测指定监测范围内文件和注册表的更改。监控范围是系统完整性监控规则的标准之一。
系统完整性监控允许监控以下对象:
文件监控中涉及的特殊注意事项
系统完整性监控监控文件和文件夹的变化以及添加到监控范围或从监控范围中删除的文件。这些更改可能表明存在计算机安全漏洞。我们建议添加很少修改的对象或只有管理员才能访问的对象。这将帮助减少系统完整性监控事件的数量。
Kaspersky Endpoint Security 仅监控实时系统完整性监控开始运行时连接的磁盘上的文件和文件夹的变化。如果实时系统完整性监控开始运行时未连接磁盘,则即使将文件和文件夹添加到监控范围,应用程序也不会监控该磁盘上文件和文件夹的变化。
注册表监控中涉及的特殊注意事项
系统完整性监控负责监控注册表。这些更改可能表明存在计算机安全漏洞。
系统完整性监控监控注册表的以下根键:
HKCRHKLMHKUHKCCHKEY_CLASSES_ROOTHKEY_LOCAL_MACHINEHKEY_USERSHKEY_CURRENT_CONFIG系统完整性监控不支持 HKEY_CURRENT_USER 键。您可以指定 HKEY_USERS 下的一个键,作为 HKEY_USERS\<user profile ID>\<key>。
外部设备监控涉及的特殊注意事项
系统完整性监控监控外部设备的连接和断开连接。这对于保护计算机免受与此类设备进行文件交换所导致的安全威胁是必要的。系统完整性监控不会监控对外部设备的访问,也不会阻止文件交换。您可以使用不同的应用程序组件配置对设备的访问,例如设备控制。
系统完整性监控监视以下类型的外部设备的连接: